Nowelizacja ustawy o cyberbezpieczeństwie niedługo trafi do Sejmu. Może zostać zatem uchwalona i opublikowana do końca roku. Jak mały i średni operator telekomunikacyjny może się do niej przygotować?
Każda nowa regulacja budzi obawy – zwłaszcza taka, która zapowiada gruntowne zmiany i dotkliwe kary. Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC), która wdraża unijną dyrektywę NIS2, będzie taką właśnie regulacją. Zamiast postrzegać ją wyłącznie jak kolejne obciążenie, można podejść do niej w sposób praktyczny i zorganizowany. Celem tego artykułu jest przełożenie skomplikowanych wymogów na konkretne działania, które może podjąć każdy, nawet najmniejszy przedsiębiorca telekomunikacyjny.
Czy nowe przepisy na pewno mnie obejmą? Praktyczne kroki do samooceny
W dyskusjach branżowych często pojawia się pytanie, czy każdy, nawet najmniejszy ISP, będzie objęty nowymi przepisami. Odpowiedź jest jednoznaczna: tak, nowe przepisy obejmą wszystkich przedsiębiorców komunikacji elektronicznej, w tym wszystkich zarejestrowanych w Rejestrze Przedsiębiorców Telekomunikacyjnych UKE. Pytanie nie brzmi: Czy?, ale: W jakim zakresie?. Aby to ustalić, każdy przedsiębiorca musi dokonać samooceny, która sprowadza się do dwóch kluczowych kroków.
Krok 1: Określ swoją wielkość – ale zgodnie z GBER
Pierwszym krokiem jest ustalenie, czy jesteśmy mikro/małym, czy średnim/dużym przedsiębiorcą komunikacji elektronicznej. To kluczowe, ponieważ od tego zależy, czy trafimy do kategorii podmiotów ważnych (mikro i mali), czy kluczowych (średni i duzi). Tu kryje się pewna pułapka: do oceny wielkości firmy nie stosujemy ustawy Prawo przedsiębiorców, lecz unijne rozporządzenie GBER. W praktyce oznacza to, że przy liczeniu personelu i rocznych obrotów musimy uwzględnić nie tylko własną firmę, ale także podmioty powiązane i partnerskie. To niezwykle ważne, ponieważ może się okazać, że mała, samodzielna firma, po zsumowaniu danych z firmą powiązaną staje się średnim przedsiębiorcą, a co za tym idzie – podmiotem kluczowym. Nie trzeba będzie doliczać danych podmiotów powiązanych i partnerskich jedynie wówczas, gdy systemy informacyjne tych podmiotów będą całkowicie rozłączne lub gdy te podmioty nie świadczą usług wspólnie.
Krok 2: Sprawdź, czy świadczysz inne usługi podlegające pod KSC
Nawet jeśli z analizy wielkości wynika, że jesteśmy podmiotem ważnym, musimy sprawdzić, czy nie świadczymy dodatkowych usług, które automatycznie przerzucą nas do kategorii podmiotów kluczowych. Najczęstszym przykładem w naszej branży są publicznie dostępne usługi DNS. Nowelizacja KSC wprowadza zasadę, że gdy dany podmiot spełnia wymogi zarówno dla podmiotu kluczowego, jak i ważnego, jest traktowany jako podmiot kluczowy. W związku z tym mikro- lub mały przedsiębiorca telekomunikacyjny, który jednocześnie świadczy usługę DNS, zostanie zakwalifikowany jako kluczowy, ze wszystkimi tego konsekwencjami.
Podmiot kluczowy czy ważny – co to oznacza w praktyce?
Niektórzy ISP, znajdujący się na granicy kwalifikacji jako podmiot średni, a zatem na granicy pomiędzy podmiotem kluczowym lub ważnym, mogą podjąć pewne działania, aby zostać zakwalifikowanym jako podmiot ważny. Przy takich działaniach należy jednak zachować szczególną ostrożność. Choć w KSC nie ma kary za samo błędne ustalenie wielkości podmiotu, to w przypadku kontroli, która wykaże, że jesteśmy podmiotem kluczowym, poniesiemy wszystkie tego konsekwencje. Taką konsekwencją może być np. kara za brak wspomnianego audytu bezpieczeństwa, w wysokości min. 20 tys. zł.
Choć podstawowy obowiązek – wdrożenie systemu zarządzania bezpieczeństwem informacji i ciągłości działania – jest wspólny dla obu grup, to w praktyce różnice w obowiązkach, nadzorze i potencjalnych sankcjach są fundamentalne.
- Nadzór i kontrole: To najważniejsza różnica. Podmioty kluczowe mogą spodziewać się planowych i doraźnych kontroli. W skrajnych przypadkach organ będzie mógł nawet wyznaczyć w firmie urzędnika monitorującego. Z kolei podmioty ważne objęte będą nadzorem następczym, czyli co oznacza, że kontrola jest prawdopodobna głównie po wystąpieniu incydentu.
- Audyt bezpieczeństwa: Podmioty kluczowe mają bezwzględny obowiązek przeprowadzania cyklicznego audytu bezpieczeństwa co 3 lata. Musi on być wykonany przez niezależny, zewnętrzny podmiot, a jego wyniki przekazane do organu nadzorczego. Niewykonanie tego obowiązku zagrożone jest karą w wysokości co najmniej 20 tys. zł. Podmioty ważne nie mają tego cyklicznego obowiązku – audyt będzie u nich przeprowadzany tylko na wyraźne polecenie organu.
- Skala kar i środków nadzoru: Zarówno kary finansowe, jak i katalog środków nadzorczych są znacznie szersze i bardziej dotkliwe w przypadku podmiotów kluczowych.
Choć nie ma kary za samą błędną deklarację wielkości, to w przypadku kontroli, która wykaże, że jesteśmy podmiotem kluczowym, poniesiemy wszystkie konsekwencje za niewykonywanie nałożonych na nas obowiązków, np. wspomnianego audytu, nawet gdy wynikają one z błędu na etapie ustalania wielkości podmiotu.
Jak przygotować firmę?
Wdrożenie KSC to nie jest jednorazowy zakup antywirusa czy pakietu dokumentacji, którą można zamknąć w szufladzie. Certyfikacja ISO może być krokiem w dobrym kierunku, ale nie gwarantuje zgodności z ustawą.
Proces wdrażania należy zacząć od inwentaryzacji zasobów: sprzętów, oprogramowania oraz od sporządzenia mapy ról i odpowiedzialności w firmie. Następnie, zanim cokolwiek wdrożymy, musimy wiedzieć, co chronimy i przed czym. Na te pytania odpowiada analiza środowiska: z jakimi podmiotami i zagrożeniami organizacja ma do czynienia? Kim są Wasi klienci? Przerwa w dostępie do internetu w szpitalu czy banku to zupełnie inne ryzyko niż w domu jednorodzinnym.
Mając pełen obraz zasobów oraz środowiska zewnętrznego (klienci, organy i in.) i wewnętrznego (role i odpowiedzialności) firmy, można przystąpić do analizy ryzyka. Dopiero po pełnej analizie ryzyka można podejmować świadome decyzje o doborze środków bezpieczeństwa odpowiednich dla organizacji.
Dopiero ostatnim krokiem powinno być stworzenie dokumentacji, ale nie tylko normatywnej (polityki, procedury), lecz również operacyjnej (m.in. rejestry). Nowa ustawa wprowadza fundamentalną zmianę: należy posiadać dokumentację operacyjną, która udowodni, że nasze własne zasady bezpieczeństwa stosujemy w praktyce. Ręczne prowadzenie takiej dokumentacji operacyjnej jest niemal niemożliwe, dlatego warto pomyśleć o choćby częściowej automatyzacji.
Rola kierownictwa
Nowelizacja KSC kładzie ogromny nacisk na osobistą odpowiedzialność kadry kierowniczej. Podstawową przyczyną takiego rozwiązania jest to, że bez pełnego wsparcia kierownictwa wdrożenie KSC się nie powiedzie.
Skuteczne wdrożenie KSC wymaga wiedzy z różnych dziedzin, dlatego najlepsze efekty przynosi praca zespołu interdyscyplinarnego, w skład którego wchodzą prawnicy znający specyfikę branży, informatycy oraz audytorzy. Proces ten musi być oczywiście nadzorowany i aktywnie wspierany przez kierownictwo firmy. Tylko taka współpraca gwarantuje, że stworzone procedury nie trafią do szuflady, ale staną się żywym elementem organizacji, gotowym na każdą kontrolę.
Jeśli macie Państwo pytania lub potrzebujecie praktycznego wsparcia w tym procesie, zapraszam do kontaktu. Jako Kancelaria Prawna Media od lat specjalizujemy się w obsłudze przedsiębiorców telekomunikacyjnych i z sukcesem przeprowadzamy naszych klientów przez najbardziej złożone wyzwania regulacyjne.
Czytaj także:
Gromadzenie, przechowywanie, zabezpieczanie i udostępnianie danych telekomunikacyjnych – ISPortal
Rekordowe inwestycje w ochronę przed cyberatakami – ISPortal
Ukryte koszty cyberataków – statystyka jest bezlitosna – ISPortal
